Ransomware

O grupo de ransomware Akira assumiu a responsabilidade por uma violação de dados na BK Technologies, fabricante de dispositivos de comunicação sem fio, ocorrida em 20 de setembro de 2025. A empresa confirmou que um acesso não autorizado a seus sistemas foi realizado, resultando no roubo de 25 GB de dados, incluindo informações de funcionários, documentos contábeis e contratos confidenciais. Embora a Akira tenha listado a BK Technologies em seu site de vazamento de dados, a empresa ainda não confirmou a extensão dos dados comprometidos ou se pagará um resgate. O relatório da SEC indica que, após o incidente, alguns sistemas não críticos sofreram interrupções menores, mas a empresa acredita que o acesso não autorizado foi contido. Akira, que surgiu em março de 2023, já reivindicou 559 ataques de ransomware, afetando diversos setores, incluindo manufatura e saúde. O aumento de ataques a fabricantes nos EUA, como evidenciado por 50 incidentes confirmados em 2025, destaca a crescente ameaça de ransomware, que pode causar interrupções significativas nas operações e riscos de conformidade, especialmente em relação à LGPD no Brasil.

As escolas públicas de North Stonington, em Connecticut, notificaram alunos e funcionários sobre um vazamento de dados ocorrido em setembro de 2025, que comprometeu informações pessoais sensíveis. Os dados afetados incluem nomes, datas de nascimento, endereços, números de identificação de alunos, informações de saúde, registros acadêmicos e muito mais. Para os funcionários, os registros de emprego e arquivos pessoais também foram expostos, incluindo números de Seguro Social e informações de folha de pagamento. O grupo de ransomware Interlock reivindicou a responsabilidade pelo ataque, alegando ter roubado 3 TB de dados do distrito escolar. Embora a escola tenha detectado o incidente em 18 de setembro de 2025, ainda não se sabe quantas pessoas foram afetadas ou se um resgate foi pago. O distrito está oferecendo monitoramento de crédito gratuito para os afetados, com prazo de inscrição de 90 dias. Este incidente destaca a crescente ameaça de ataques de ransomware no setor educacional, que já registrou 39 ataques confirmados em 2025, afetando operações diárias e expondo dados sensíveis.

O grupo de ransomware conhecido como Qilin, também chamado de Agenda, Gold Feather e Water Galura, tem se mostrado extremamente ativo, reivindicando mais de 40 vítimas por mês desde o início de 2025, exceto em janeiro. Em junho, o número de casos postados em seu site de vazamento de dados atingiu 100. A operação de ransomware como serviço (RaaS) é responsável por 84 vítimas em agosto e setembro. Os ataques têm como alvo principalmente os setores de manufatura, serviços profissionais e científicos, e comércio atacadista, afetando países como EUA, Canadá, Reino Unido, França e Alemanha. Os atacantes utilizam credenciais administrativas vazadas para obter acesso inicial, seguido de conexões RDP e reconhecimento do sistema. Ferramentas como Mimikatz e Cyberduck são empregadas para coletar credenciais e transferir dados. O ransomware Qilin, por sua vez, criptografa arquivos e apaga cópias de sombra do Windows. Além disso, uma variante do ransomware para Linux foi descoberta, demonstrando a capacidade de afetar sistemas Windows e Linux simultaneamente. Os ataques também exploram ferramentas legítimas para contornar barreiras de segurança, destacando a necessidade de vigilância constante e medidas de mitigação eficazes.

O grupo de ransomware Agenda, também conhecido como Qilin, lançou uma nova variante que utiliza um ransomware baseado em Linux, capaz de operar em sistemas Windows. Essa abordagem representa uma escalada significativa nas operações de ataque multi-plataforma do grupo. Os atacantes empregaram ferramentas legítimas de TI, como Splashtop Remote e WinSCP, para entregar um payload Linux, contornando sistemas de segurança centrados em Windows. A campanha se aproveita de ferramentas de gerenciamento remoto e de transferência de arquivos para implantar ransomware em ambientes híbridos de forma discreta. Além disso, o grupo realizou uma coleta direcionada de credenciais contra a infraestrutura de backup da Veeam, desativando a recuperação e roubando tokens de backup antes de implantar o ransomware. A variante híbrida demonstrou consciência do hipervisor, detectando ambientes VMware ESXi e Nutanix AHV, e utilizou técnicas de Bring Your Own Vulnerable Driver (BYOVD) para neutralizar ferramentas de antivírus. Com mais de 700 organizações comprometidas em 62 países, incluindo setores críticos como manufatura, finanças e saúde, especialistas alertam as empresas a reforçarem os controles de acesso e monitorarem o uso de credenciais. A Trend Vision One™ já detecta e bloqueia os indicadores de comprometimento identificados.

O grupo de ransomware Qilin, baseado na Rússia, alcançou um marco alarmante ao reivindicar seu 700º ataque em 2025, superando o total de vítimas do ano anterior do grupo RansomHub. Desde sua aparição em 2022, Qilin ganhou notoriedade em 2023 e, em 2024, registrou 179 vítimas, número que quadruplicou neste ano. O modelo de negócios Ransomware-as-a-Service (RaaS) tem impulsionado sua atividade, especialmente após o desaparecimento do RansomHub, que levou seus afiliados a se unirem ao Qilin. Os principais alvos incluem setores críticos como manufatura, finanças, varejo, saúde e agências governamentais, onde a criptografia de sistemas e o roubo de dados podem causar grandes interrupções. Até agora, Qilin já comprometeu 788.377 registros e roubou 116 TB de dados. Os Estados Unidos são o país mais afetado, seguido por França, Canadá e Coreia do Sul. O aumento de ataques no setor educacional, com um crescimento de 420% em relação ao ano anterior, é particularmente preocupante, assim como os ataques a entidades governamentais, que subiram 344%. O impacto financeiro e a conformidade com a LGPD são preocupações significativas para as organizações brasileiras.

O grupo de ransomware Genesis reivindicou ataques a nove empresas nos Estados Unidos, incluindo Healthy Living Market & Café e River City Eye Care, que já relataram vazamentos de dados. O ataque a Healthy Living, ocorrido em setembro de 2025, comprometeu informações sensíveis como nomes, números de Seguro Social, dados de depósitos diretos e registros médicos. Já o ataque a River City Eye Care expôs nomes, números de telefone, datas de nascimento e informações de identificação de alguns pacientes. Genesis afirma ter roubado 400 GB de dados da Healthy Living e 200 GB da River City Eye. Embora as empresas não tenham confirmado as alegações do grupo, a situação destaca a crescente ameaça de ransomware nos EUA, com 381 ataques confirmados em 2025 até agora, afetando mais de 15,2 milhões de registros. O valor médio do resgate exigido é de aproximadamente $984,600. A falta de ofertas de monitoramento de crédito ou proteção contra roubo de identidade para as vítimas é uma preocupação adicional. O aumento de ataques de ransomware, especialmente em setores críticos como saúde e alimentação, levanta questões sobre a segurança cibernética e a proteção de dados pessoais.

Um novo e sofisticado kit de ferramentas de ransomware, chamado Monolock, foi identificado em fóruns da dark web, gerando preocupação nas comunidades de cibersegurança. Este ransomware é projetado para campanhas de ataque rápidas e automatizadas, apresentando capacidades técnicas avançadas. O Monolock oferece um pacote completo para operações de ransomware, incluindo módulos para automação de comando e controle, escalonamento de privilégios e técnicas de evasão persistente. Além disso, possui ferramentas para deletar cópias de sombra em sistemas-alvo, dificultando estratégias comuns de recuperação de desastres. O kit também conta com recursos anti-análise que evitam a execução em ambientes de segurança. Os operadores do Monolock estão recrutando afiliados com experiência em implantação de malware, oferecendo um programa de afiliados que inclui taxas de registro e uma divisão de lucros. A emergência do Monolock se alinha com a tendência de ransomware como serviço (RaaS), permitindo que grupos criminosos menores tenham acesso a ferramentas avançadas. Especialistas em segurança recomendam que as organizações monitorem indicadores de comprometimento relacionados ao Monolock e mantenham backups offline para se protegerem contra essa nova ameaça.

O avanço da inteligência artificial generativa tem transformado o cibercrime em uma economia paralela que movimenta anualmente cerca de US$ 10 trilhões, segundo Tania Cosentino, ex-presidente da Microsoft Brasil. Durante sua apresentação no CRM Zummit 2025, Cosentino destacou que a combinação de novas tecnologias, como a migração para a nuvem e o trabalho remoto, ampliou a superfície de ataque, tornando as empresas mais vulneráveis. Os hackers utilizam IA para aumentar a velocidade e a sofisticação de seus ataques, resultando em ameaças complexas, como ransomware e ataques a cadeias de suprimento. O tempo de resposta dos atacantes é alarmante, com a média de apenas 1 hora e 12 minutos para se mover lateralmente dentro de uma rede após o acesso inicial. O Brasil é um dos países mais atacados, especialmente em ransomware, devido à percepção de que os resgates são frequentemente pagos. Além disso, a falta de profissionais qualificados em cibersegurança e a disparidade entre regiões do país agravam a situação. A segurança cibernética não é apenas uma questão técnica, mas também um diferencial competitivo, pois 69% dos consumidores evitam empresas percebidas como inseguras.

Os ataques ClickFix, que envolvem a interação do usuário com scripts maliciosos no navegador, estão se tornando uma fonte crescente de violações de segurança. Esses ataques geralmente solicitam que os usuários resolvam um problema, como um CAPTCHA, mas na verdade induzem a execução de comandos maliciosos ao copiar código da página para o dispositivo do usuário. Grupos de ransomware, como o Interlock, têm utilizado essas táticas, que já estão ligadas a várias violações de dados em instituições como Kettering Health e Texas Tech University.

O Grupo Volkswagen confirmou que está investigando alegações do grupo de ransomware 8Base, que afirma ter roubado e vazado dados sensíveis da montadora alemã. Embora a empresa assegure que sua infraestrutura de TI principal permanece segura, a natureza vaga da resposta gerou preocupações sobre uma possível violação de dados de terceiros. O grupo 8Base, conhecido por suas táticas de extorsão dupla, alegou ter exfiltrado arquivos confidenciais em 23 de setembro de 2024, ameaçando divulgar os dados até 26 de setembro. Embora o prazo inicial tenha passado sem vazamentos, 8Base listou as informações roubadas em sua plataforma na dark web. Os dados comprometidos incluem faturas, documentos contábeis, arquivos pessoais de funcionários e contratos de trabalho. Se confirmada, essa violação pode expor informações financeiras e pessoais sensíveis em operações globais da Volkswagen, afetando marcas renomadas como Audi e Porsche. Especialistas em cibersegurança destacam a necessidade urgente de aprimorar a gestão de riscos de terceiros, uma vez que ataques modernos frequentemente exploram vulnerabilidades em parceiros da cadeia de suprimentos.

O relatório Digital Defense Report 2025 da Microsoft revela que a motivação financeira continua a dominar o cenário global de ameaças cibernéticas, com 52% dos ataques analisados relacionados a extorsão e ransomware. O documento, assinado pelo Chief Information Security Officer da Microsoft, Igor Tsyganskiy, destaca que 80% dos incidentes investigados estavam ligados ao roubo de dados, evidenciando que os cibercriminosos priorizam o lucro em vez da espionagem. A pesquisa também enfatiza o uso crescente de inteligência artificial (IA) em ciberataques, permitindo que até mesmo atores de baixo nível escalem operações maliciosas. A Microsoft processa mais de 100 trilhões de sinais de segurança diariamente, bloqueando cerca de 4,5 milhões de tentativas de malware e analisando 5 bilhões de e-mails para detectar phishing. A automação e a IA mudaram drasticamente a dinâmica dos ataques, com criminosos utilizando modelos de aprendizado de máquina para descobrir vulnerabilidades rapidamente e gerar malware polimórfico. O relatório também menciona o aumento das ameaças de atores estatais, especialmente da China, Irã, Rússia e Coreia do Norte, que estão explorando vulnerabilidades recém-divulgadas com rapidez. A Microsoft recomenda que as organizações integrem a segurança em suas estratégias de negócios e adotem modelos de defesa impulsionados por IA para enfrentar essas ameaças.

A Microsoft anunciou a revogação de mais de 200 certificados utilizados pelo grupo de cibercriminosos conhecido como Vanilla Tempest, que assina fraudulentamente binários maliciosos em ataques de ransomware. Esses certificados foram empregados em arquivos de instalação falsos do Microsoft Teams para entregar o backdoor Oyster e, por fim, implantar o ransomware Rhysida. A atividade foi detectada no final de setembro de 2025, e a Microsoft já atualizou suas soluções de segurança para sinalizar as assinaturas associadas a esses arquivos maliciosos. O grupo Vanilla Tempest, que opera desde julho de 2022, é conhecido por distribuir diversas variantes de ransomware, incluindo BlackCat e Quantum Locker. O backdoor Oyster é frequentemente disseminado por meio de instaladores trojanizados de softwares populares, utilizando domínios maliciosos que imitam sites legítimos. A Microsoft alerta que os usuários são frequentemente direcionados a esses sites por meio de técnicas de SEO, que manipulam resultados de busca. Para se proteger, é recomendado baixar softwares apenas de fontes verificadas e evitar clicar em links suspeitos.

A Capita, uma das maiores empresas de terceirização e serviços digitais do Reino Unido, foi multada em £14 milhões (cerca de R$ 90 milhões) pela Information Commissioner’s Office (ICO) devido a falhas de segurança que resultaram em um vazamento de dados. O incidente, ocorrido em 2023, comprometeu informações pessoais de mais de 6 milhões de pessoas, incluindo nomes, datas de nascimento, endereços e dados financeiros, como números de cartões e CVVs. A ICO destacou que a Capita não implementou medidas de segurança adequadas para prevenir a escalada de privilégios e o movimento lateral não autorizado em suas redes. Além disso, a resposta da empresa a alertas de segurança foi considerada ineficaz. Embora a Capita tenha inicialmente afirmado que não havia evidências de comprometimento de dados, posteriormente foi revelado que informações de funcionários, clientes e parceiros foram expostas. A multa representa uma redução significativa em relação à penalidade inicial proposta de £45 milhões, refletindo um acordo voluntário com o regulador. O caso ressalta a necessidade urgente de que todas as organizações adotem medidas proativas para proteger os dados pessoais sob sua responsabilidade.

O grupo de ransomware Qilin, conhecido por seu modelo de ransomware como serviço (RaaS), intensificou suas operações globais utilizando provedores de hospedagem à prova de balas (BPH) para ocultar suas atividades. De acordo com a Resecurity, a infraestrutura do Qilin abrange várias jurisdições, incluindo Rússia, Hong Kong, Chipre e Emirados Árabes Unidos, permitindo que o grupo evite a aplicação da lei e mantenha suas operações a longo prazo. Recentemente, o Qilin atacou o Asahi Group Holdings, a maior fabricante de bebidas do Japão, paralisando a produção em 30 fábricas. O grupo, que surgiu em meados de 2022, utiliza um modelo avançado de RaaS, onde seus afiliados executam ataques e retêm 80-85% do resgate. A infraestrutura do Qilin é sustentada por provedores de BPH que operam sem identificação de clientes, permitindo que dados roubados e servidores de comando e controle sejam hospedados de forma anônima. Até outubro de 2025, o Qilin já havia reivindicado mais de 50 novas vítimas, incluindo agências governamentais e cooperativas elétricas nos EUA. A dependência de redes BPH fantasmas demonstra como a infraestrutura de hospedagem anonimizada permite que grupos de ransomware prosperem fora do alcance da lei internacional.

Nos primeiros nove meses de 2025, pesquisadores da Comparitech registraram 276 ataques a organizações governamentais, um aumento de 41% em relação ao mesmo período de 2024. Desses, 147 ataques foram confirmados, com uma expectativa de que esse número cresça à medida que mais incidentes sejam verificados. Apesar do aumento geral, o número de ataques de ransomware a agências governamentais tem diminuído a cada trimestre desde o primeiro trimestre de 2025. No entanto, as empresas de serviços públicos não experimentaram essa mesma queda, com 10 ataques confirmados, sendo cinco deles nos últimos três meses. O ataque ao Lakehaven Water & Sewer District em setembro, reivindicado pelo grupo Qilin, exemplifica o impacto que esses incidentes podem ter nos serviços essenciais. Os ataques a organizações governamentais são frequentemente amplamente divulgados, o que aumenta a notoriedade dos grupos atacantes. O relatório também destaca que o grupo Qilin foi responsável pelo maior número de ataques confirmados, com 19 incidentes, e que os Estados Unidos lideram em termos de ataques, seguidos por Brasil e Canadá. O impacto financeiro médio das demandas de resgate foi de aproximadamente $1,95 milhão, com um aumento significativo nas exigências em alguns casos.

As autoridades do Condado de Grand Traverse, em Michigan, confirmaram a notificação de 782 pessoas sobre uma violação de dados ocorrida em junho de 2024, que comprometeu seus nomes e números de Seguro Social. O condado detectou atividades não autorizadas em sua rede e uma investigação forense digital de terceiros revelou que informações pessoais estavam em locais da rede que foram comprometidos. Notavelmente, a notificação aos afetados ocorreu mais de 15 meses após a violação, enquanto o tempo médio de notificação após uma violação de dados é de cerca de 4 meses. Até o momento, nenhum grupo de ransomware reivindicou a responsabilidade pelo ataque. O condado está oferecendo 12 meses de monitoramento de crédito gratuito através da Cyberscout para as vítimas, com um prazo de 90 dias para inscrição. Em 2024, pesquisadores registraram 95 ataques de ransomware confirmados a entidades governamentais nos EUA, comprometendo mais de 2,5 milhões de registros. Esses ataques podem não apenas roubar dados, mas também bloquear sistemas, exigindo resgates para a recuperação. O Condado de Grand Traverse, que abriga quase 100 mil pessoas, é o mais populoso do norte de Michigan.

A Microsoft anunciou a interrupção de uma campanha sofisticada de ciberataques liderada pelo grupo Vanilla Tempest, também conhecido como VICE SPIDER e Vice Society. A ação envolveu a revogação de mais de 200 certificados de assinatura de código obtidos fraudulentamente. A campanha, que começou em setembro de 2025, utilizou arquivos de instalação falsificados do Microsoft Teams para implantar um backdoor chamado Oyster e, posteriormente, o ransomware Rhysida. Os atacantes criaram sites que se passavam por portais oficiais de download do Teams, utilizando técnicas de SEO para atrair vítimas. Após a execução do instalador falso, o backdoor Oyster permitia acesso persistente aos sistemas comprometidos. A Microsoft agiu rapidamente para revogar os certificados, invalidando as chaves usadas nos arquivos de instalação e atualizando o Microsoft Defender para detectar as ameaças associadas. A ação ressalta a importância da gestão robusta de certificados e do compartilhamento de inteligência em tempo real, ajudando a proteger clientes globalmente e a estabelecer um precedente para a colaboração entre autoridades certificadoras e a comunidade de cibersegurança.

O grupo de ransomware Interlock reivindicou um ataque cibernético às escolas públicas de Kearney, em Nebraska, ocorrido na última sexta-feira. O ataque resultou no roubo de 354 GB de dados, incluindo informações pessoais e financeiras de alunos e seus familiares. Embora a escola tenha restaurado seus sistemas até segunda-feira, a veracidade das alegações do grupo não foi confirmada. A diretora de comunicações da escola, Tori Stofferson, afirmou que a investigação ainda está em andamento e que não houve solicitação de resgate. O superintendente, Dr. Jason Mundorf, mencionou que servidores de câmeras e de telefonia foram comprometidos, mas não se sabe se dados pessoais foram acessados. O Interlock é um grupo que começou a operar em outubro de 2024 e já reivindicou 32 ataques confirmados, sendo 11 direcionados a instituições educacionais. Os ataques de ransomware têm se tornado comuns nas escolas dos EUA, com 38 incidentes confirmados em 2025, comprometendo 184 mil registros. O impacto desses ataques pode ser severo, afetando operações diárias e expondo dados sensíveis a fraudes.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou a vulnerabilidade CVE-2025-6264 ao seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), alertando que operadores de ransomware estão explorando uma falha de permissões padrão no Velociraptor, uma ferramenta de forense de endpoints da Rapid7. Essa vulnerabilidade permite a execução de comandos arbitrários e a possível tomada de controle do endpoint, desde que o atacante já tenha acesso suficiente para coletar artefatos. A falha está relacionada a configurações de permissões incorretas, que podem ser utilizadas em estágios de movimento lateral em ataques de ransomware, onde os operadores convertem acessos limitados em controle total. A CISA recomenda que as organizações remedeiem a vulnerabilidade até 4 de novembro de 2025, aplicando as mitig ações do fornecedor e seguindo as diretrizes de BOD 22-01 para serviços em nuvem. A exploração ativa dessa vulnerabilidade foi observada em várias campanhas de ransomware, elevando a urgência para defensores do setor público e privado. As equipes de segurança devem verificar as permissões de implantação do Velociraptor, reforçar credenciais e aumentar a telemetria para detectar usos anômalos.

Um grande fabricante sofreu um ataque de ransomware devastador após a obtenção de credenciais VPN roubadas. O grupo cibercriminoso Ignoble Scorpius utilizou um ataque de phishing por voz para enganar um funcionário, que forneceu suas informações de login em um site falso. Com essas credenciais, os atacantes conseguiram acesso à rede e rapidamente elevaram seus privilégios, realizando um ataque DCSync para coletar credenciais administrativas adicionais.

Os invasores se moveram lateralmente pela rede, utilizando ferramentas como Advanced IP Scanner para mapear servidores valiosos e instalaram um Trojan de acesso remoto para garantir acesso contínuo. Eles comprometeram um segundo controlador de domínio, extraindo mais de 400 GB de dados sensíveis antes de implantar o ransomware BlackSuit, que criptografou centenas de máquinas virtuais, paralisando as operações da empresa.

O grupo de hackers Crimson Collective anunciou, no último sábado (11), que invadiu os servidores da Nintendo, alegando ter acessado arquivos confidenciais, incluindo materiais de produção e dados de desenvolvedores. A gigante japonesa, conhecida por sua rigorosa proteção de informações, não se pronunciou sobre o incidente, o que levanta dúvidas sobre a veracidade da alegação. O Crimson Collective também foi responsável por um ataque recente à Red Hat, onde roubaram cerca de 570 GB de dados e tentaram extorquir a empresa. A Red Hat optou por admitir o vazamento e colaborar com as autoridades, enquanto a Nintendo pode não se manifestar a menos que dados de clientes ou funcionários tenham sido comprometidos, o que exigiria uma divulgação legal. Se confirmada, a invasão pode indicar a prática de ransomware, uma técnica crescente em ataques cibernéticos, especialmente na indústria de jogos, que já enfrentou incidentes semelhantes, como os ataques à Rockstar e à Insomniac Games nos últimos anos. A situação destaca a vulnerabilidade das empresas de tecnologia e a necessidade de medidas de segurança robustas para proteger dados sensíveis.

No final de semana, o grupo de ransomware Obscura reivindicou um ataque cibernético ocorrido em setembro de 2025 contra Michigan City, Indiana. Em 9 de outubro de 2025, autoridades da cidade confirmaram que um ataque comprometeu dados municipais e interrompeu o acesso online e telefônico dos funcionários. Obscura afirmou ter roubado 450 GB de dados e que o prazo para pagamento do resgate já havia expirado. Embora a cidade não tenha confirmado a reivindicação do grupo, a situação está sob investigação policial, limitando as informações disponíveis ao público. O ataque é o primeiro reconhecido por Obscura, que também alegou ter atacado uma entidade governamental na Alemanha e uma loja de suprimentos na Irlanda. Os ataques de ransomware em entidades governamentais dos EUA têm aumentado, com 64 incidentes confirmados em 2025 até agora. Esses ataques podem resultar em perda de dados, interrupções em serviços essenciais e riscos de fraude para os cidadãos. A cidade de Michigan City, que abriga mais de 32.000 pessoas, está focada em restaurar seus sistemas de forma segura.

No final de semana, a SimonMed Imaging confirmou que 1.275.669 pessoas foram afetadas por uma violação de dados em janeiro de 2025, atribuída ao grupo de ransomware Medusa, que exigiu um resgate de US$ 1 milhão. Este incidente se torna a segunda maior violação de dados do ano no setor de saúde e a sexta em todos os setores. A SimonMed foi alertada por um de seus fornecedores sobre um incidente de segurança em 27 de janeiro, e, após uma revisão, identificou atividades suspeitas em sua rede no dia seguinte. Os dados comprometidos incluem informações pessoais e médicas, como nomes, endereços, números de registro médico e informações de seguro de saúde. Medusa reivindicou a responsabilidade pelo ataque e listou a SimonMed em seu site, exigindo o resgate. Até agora, 140 ataques confirmados do grupo resultaram na violação de mais de 4,5 milhões de registros, com um foco crescente em organizações de saúde. Em 2025, já foram registrados 65 ataques a provedores de saúde nos EUA, totalizando mais de 7,5 milhões de registros comprometidos. O ataque à SimonMed é o maior até agora, superando outros incidentes significativos no setor de saúde.

O cenário de cibersegurança continua a se deteriorar, com ataques cada vez mais sofisticados e coordenados. Um dos principais incidentes recentes envolve a exploração de uma falha crítica no Oracle E-Business Suite, afetando diversas organizações desde agosto de 2025. A falha, identificada como CVE-2025-61882, possui uma pontuação CVSS de 9.8 e foi utilizada por grupos como o Cl0p para exfiltrar dados sensíveis. Além disso, o grupo Storm-1175 explorou uma vulnerabilidade no GoAnywhere MFT, resultando em ataques em setores variados, como transporte e educação.

Pesquisadores de cibersegurança revelaram um novo backdoor baseado em Rust chamado ChaosBot, que permite a operadores realizar reconhecimento e executar comandos arbitrários em sistemas comprometidos. O malware foi detectado pela primeira vez em setembro de 2025 em um ambiente de serviços financeiros. Os atacantes utilizaram credenciais comprometidas de uma conta do Active Directory e do Cisco VPN para implantar o ChaosBot, que se comunica via Discord, utilizando perfis como ‘chaos_00019’ para emitir comandos. O malware também pode ser distribuído através de mensagens de phishing que contêm arquivos de atalho maliciosos. Uma vez instalado, o ChaosBot realiza reconhecimento do sistema e estabelece um proxy reverso para manter acesso persistente. Além disso, uma variante do ransomware Chaos, escrita em C++, foi identificada, introduzindo capacidades destrutivas que excluem arquivos em vez de criptografá-los, além de manipular o conteúdo da área de transferência para fraudes financeiras. Essa combinação de extorsão destrutiva e roubo financeiro torna o Chaos uma ameaça multifacetada e agressiva.

Recentemente, o grupo de ameaças Storm-2603, associado a ataques de ransomware, tem utilizado o Velociraptor, uma ferramenta de resposta a incidentes de código aberto, para comprometer sistemas. Os atacantes exploraram vulnerabilidades do SharePoint, conhecidas como ToolShell, para obter acesso inicial e implantar uma versão desatualizada do Velociraptor, que possui uma vulnerabilidade de escalonamento de privilégios (CVE-2025-6264). Durante os ataques, que ocorreram em agosto de 2025, os invasores tentaram criar contas de administrador de domínio e se mover lateralmente dentro da rede comprometida, utilizando ferramentas como Smbexec para executar programas remotamente. Além disso, modificaram objetos de política de grupo do Active Directory e desativaram a proteção em tempo real para evitar detecções. Este é o primeiro caso em que o Storm-2603 foi vinculado ao uso do ransomware Babuk, além dos já conhecidos Warlock e LockBit. A análise sugere que o grupo possui características de atores patrocinados por estados-nação, devido à sua organização e práticas de desenvolvimento sofisticadas. As implicações para a segurança cibernética são significativas, especialmente considerando a possibilidade de que esses métodos possam ser replicados em ambientes corporativos no Brasil.

A empresa de cibersegurança Huntress alertou sobre um comprometimento generalizado de dispositivos SonicWall SSL VPN, que permitiu o acesso a múltiplos ambientes de clientes. Os atacantes estão autenticando rapidamente em várias contas, sugerindo que possuem credenciais válidas, em vez de utilizar força bruta. Desde 4 de outubro de 2025, mais de 100 contas SonicWall em 16 clientes foram afetadas, com autenticações originadas do IP 202.155.8[.]73. Embora alguns atacantes tenham se desconectado rapidamente, outros realizaram atividades de varredura de rede e tentativas de acesso a contas locais do Windows. Este incidente segue a revelação de que arquivos de configuração de firewall armazenados em contas MySonicWall foram expostos de forma não autorizada, afetando todos os clientes que utilizam o serviço de backup em nuvem da SonicWall. A Huntress recomenda que as organizações redefinam suas credenciais e implementem autenticação multifator (MFA) para proteger suas contas administrativas e remotas. O aumento das atividades de ransomware, como a campanha Akira, que explora falhas conhecidas, destaca a importância de manter práticas de atualização de segurança rigorosas.

O grupo de ransomware Qilin reivindicou um ataque cibernético ao Uvalde Consolidated Independent School District, ocorrido entre 15 e 18 de setembro de 2025. Durante o ataque, as escolas do distrito foram fechadas devido à interrupção de serviços essenciais, como telefonia, ar-condicionado e câmeras de segurança. Embora o distrito tenha afirmado que não houve acesso não autorizado a dados sensíveis, Qilin alegou ter roubado informações pessoais de funcionários e alunos, além de dados financeiros. Para corroborar sua afirmação, o grupo publicou imagens de documentos que afirmam ter sido extraídos dos servidores do distrito. Até o momento, o Uvalde CISD não confirmou a veracidade das alegações do grupo. O Qilin é um grupo de ransomware que opera um modelo de ransomware como serviço, permitindo que afiliados utilizem seu malware para realizar ataques. Em 2025, foram confirmados 106 ataques atribuídos ao Qilin, com o grupo já tendo atacado diversas instituições educacionais nos Estados Unidos. Os ataques de ransomware têm se tornado cada vez mais comuns no setor educacional, com 34 incidentes confirmados em 2025, impactando operações diárias e colocando em risco a segurança de dados de alunos e funcionários.

Desde julho de 2025, operadores do ransomware Akira têm explorado dispositivos SonicWall SSL VPN, utilizando uma vulnerabilidade conhecida (CVE-2024-40766) que afeta versões do SonicOS. Essa falha, que foi divulgada e corrigida em agosto de 2024, permite acesso inadequado e tem sido utilizada para comprometer redes empresariais em diversos setores. A campanha inclui técnicas avançadas de coleta de credenciais e exfiltração de dados, com um ataque documentado em agosto de 2025 que resultou na transferência de aproximadamente 2 GB de dados sensíveis. Os atacantes utilizaram métodos sofisticados, como a técnica ‘UnPAC the hash’, para escalar privilégios dentro da rede. A Darktrace, empresa de segurança, conseguiu conter o ataque, mas a exploração contínua da vulnerabilidade destaca a importância de práticas de gerenciamento de patches atualizadas, especialmente para dispositivos que oferecem acesso remoto. O incidente ressalta a necessidade de vigilância constante e resposta rápida a ameaças cibernéticas, especialmente em um cenário onde a segurança de dados é crítica.

Em julho de 2025, Coös County Family Health Services confirmou que 40.185 pessoas tiveram seus dados comprometidos em um ataque cibernético. O grupo de ransomware Run Some Wares reivindicou a responsabilidade pelo ataque em agosto. A investigação revelou que, em 9 de julho, houve acesso não autorizado aos servidores, onde dados sensíveis, como datas de nascimento, informações de contato, números de Seguro Social e dados médicos, podem ter sido visualizados ou copiados. Embora Coös County não tenha confirmado a natureza do ataque, a organização está oferecendo monitoramento de crédito gratuito por 12 meses aos afetados. Este incidente se insere em um contexto mais amplo, onde o setor de saúde dos EUA já registrou 63 ataques confirmados em 2025, resultando em mais de 6,2 milhões de registros expostos. O ataque em Coös County é um exemplo claro do impacto devastador que os ataques de ransomware podem ter sobre instituições de saúde, tanto em termos de tempo de inatividade quanto na violação de dados. A situação é alarmante, especialmente considerando que o setor de saúde é um alvo frequente para esses tipos de ataques.

A Fortra divulgou os resultados de sua investigação sobre a vulnerabilidade CVE-2025-10035, uma falha crítica no GoAnywhere Managed File Transfer (MFT), que está sendo explorada ativamente desde pelo menos 11 de setembro de 2025. A investigação foi iniciada após um cliente relatar uma ‘potencial vulnerabilidade’, levando a Fortra a identificar atividades suspeitas relacionadas à falha. A empresa notificou clientes que tinham o console administrativo do GoAnywhere acessível na internet e também alertou as autoridades policiais. Um hotfix foi disponibilizado no dia seguinte, e versões completas com o patch foram lançadas em 15 de setembro. A Fortra destacou que o risco é limitado a clientes com o console administrativo exposto, mas admitiu que há relatos de atividades não autorizadas associadas à vulnerabilidade. A CVE-2025-10035 refere-se a uma vulnerabilidade de desserialização no License Servlet, que pode resultar em injeção de comandos sem autenticação. A Microsoft informou que um grupo de ameaças, identificado como Storm-1175, está explorando essa falha para implantar ransomware Medusa. A Fortra recomenda que os usuários restrinjam o acesso ao console administrativo pela internet e mantenham o software atualizado.

Pesquisadores de cibersegurança revelaram uma campanha ativa de malware chamada Stealit, que utiliza a funcionalidade Single Executable Application (SEA) do Node.js para distribuir seus payloads. De acordo com o Fortinet FortiGuard Labs, o malware é propagado por meio de instaladores falsos de jogos e aplicativos de VPN, frequentemente carregados em sites de compartilhamento de arquivos como Mediafire e Discord. A SEA permite que aplicações Node.js sejam empacotadas como executáveis independentes, facilitando a execução em sistemas sem o Node.js instalado.

Pesquisadores de segurança da SentinelLABS revelaram o MalTerminal, um novo malware que utiliza modelos de linguagem de grande escala (LLM) para gerar código de ransomware. Este executável para Windows, identificado após um ano de investigação, incorpora um endpoint da API de chat do OpenAI GPT-4, que foi descontinuado em novembro de 2023, indicando que o malware pode ter surgido entre o final de 2023 e o início de 2024. Os analistas desenvolveram regras YARA para detectar padrões de chaves de API exclusivas de provedores de LLM, encontrando mais de 7.000 amostras com mais de 6.000 chaves únicas. O MalTerminal se destaca como o primeiro exemplo conhecido de malware que gera lógica maliciosa dinamicamente em tempo de execução, emitindo um payload JSON estruturado para o endpoint GPT-4 e definindo seu papel como um especialista em cibersegurança. Embora não haja evidências de que o MalTerminal tenha sido implantado em ambientes reais, sua dependência de serviços comerciais de LLM e chaves de API válidas apresenta uma janela estreita para que os defensores aprimorem suas estratégias de detecção antes que arquiteturas mais resilientes sejam adotadas pelos adversários.

Um relatório recente do Google Threat Intelligence Group (GTIG) e da Mandiant revelou que dezenas de organizações podem ter sido impactadas pela exploração de uma falha de segurança zero-day no software Oracle E-Business Suite (EBS), identificada como CVE-2025-61882, com uma pontuação CVSS de 9.8. Desde 9 de agosto de 2025, a atividade maliciosa, associada ao grupo de ransomware Cl0p, utilizou múltiplas vulnerabilidades para invadir redes-alvo e exfiltrar dados sensíveis. A campanha de ataques começou em 29 de setembro de 2025, com um envio em massa de e-mails fraudulentos a executivos de empresas, alegando que suas aplicações Oracle EBS haviam sido comprometidas. Os atacantes exigiam resgates em troca de não vazamento das informações roubadas. A Oracle já lançou patches para corrigir a vulnerabilidade. Os ataques foram realizados utilizando técnicas como Server-Side Request Forgery (SSRF) e injeção de código, permitindo a execução remota de comandos. A complexidade e o investimento na campanha indicam um planejamento cuidadoso por parte dos atacantes, que podem estar associados ao grupo FIN11, conhecido por suas táticas de extorsão.

Pesquisadores da Cisco Talos confirmaram que operadores de ransomware estão explorando a ferramenta de resposta a incidentes e forense digital (DFIR) Velociraptor em ataques cibernéticos sofisticados. A atividade foi atribuída ao grupo de ameaças Storm-2603, suspeito de operar a partir da China, que ganhou notoriedade por explorar vulnerabilidades do SharePoint. Em agosto de 2025, o grupo lançou um ataque que utilizou várias variantes de ransomware, como Warlock, LockBit e Babuk, para criptografar máquinas virtuais VMware ESXi e servidores Windows.

A Strategic Retail Partners (SRP) confirmou que notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em fevereiro de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, identificações emitidas pelo estado e informações financeiras. O ataque foi reivindicado pelo grupo de ransomware Medusa, que alegou ter roubado 1,35 TB de dados e exigiu um resgate de 1,2 milhão de dólares. Após uma segunda invasão em março, Medusa exigiu um resgate adicional de 1 milhão de dólares, afirmando que a SRP não havia melhorado sua segurança. A empresa ofereceu 12 meses de monitoramento de crédito gratuito para as vítimas. O ataque à SRP é o primeiro do grupo direcionado a uma empresa de varejo, que já havia atacado outras organizações em setores diversos. A pesquisa da Comparitech registrou 17 ataques confirmados de ransomware a varejistas nos EUA em 2025, comprometendo mais de 110 mil registros. Os ataques de ransomware podem causar interrupções significativas nas operações comerciais, além de expor dados pessoais a riscos de fraude.

Nos primeiros nove meses de 2025, foram registrados 293 ataques de ransomware em hospitais e clínicas, além de 130 ataques a empresas do setor de saúde, como fabricantes de produtos médicos e provedores de tecnologia. Embora os ataques a prestadores de serviços de saúde tenham se mantido estáveis em relação a 2024, os ataques a empresas do setor aumentaram em 30%. O aumento da conscientização sobre a ameaça de ransomware, impulsionado por ataques de alto perfil, pode ter levado as organizações a melhorar suas defesas. Além disso, as empresas de saúde lidam com múltiplos prestadores, o que aumenta a vulnerabilidade a ataques. Os dados revelam que 7,4 milhões de registros foram comprometidos em ataques confirmados, com um pedido médio de resgate de cerca de $514.000. Os principais grupos de ransomware identificados foram INC, Qilin e SafePay. Os Estados Unidos lideram em número de ataques, seguidos por Austrália, Alemanha e Reino Unido. O relatório destaca a necessidade urgente de ações de segurança cibernética no setor, especialmente em relação a fornecedores terceirizados, que representam um novo vetor de ataque.

No terceiro trimestre de 2025, a atividade de ransomware atingiu níveis recordes, impulsionada pelo anúncio da plataforma RaaS (Ransomware as a Service) da Scattered Spider e o retorno do LockBit com a versão 5.0, que agora visa explicitamente a infraestrutura crítica. O número de sites ativos de vazamento de dados subiu para 81, com novos grupos emergindo em diversas regiões e setores, apesar do número total de organizações listadas permanecer estável em relação ao segundo trimestre. A Scattered Spider, conhecida por suas táticas de engenharia social, está se preparando para lançar sua plataforma ShinySp1d3r, prometendo uma integração eficiente de exfiltração de dados e criptografia de arquivos. Por outro lado, o LockBit 5.0 permite que seus afiliados ataquem infraestrutura crítica, refletindo uma mudança significativa em sua estratégia após ações de aplicação da lei. O setor de saúde e serviços técnicos viu um aumento nas exposições, enquanto setores como manufatura e construção enfrentaram quedas. A combinação de táticas de extorsão dupla e ataques a sistemas operacionais industriais representa uma ameaça crescente, exigindo que as organizações adotem medidas rigorosas de segurança, como segmentação de rede e monitoramento de sites de vazamento.

O Discord confirmou um vazamento de dados significativo após um ataque cibernético que comprometeu o ambiente de atendimento ao cliente da Zendesk, seu provedor de suporte terceirizado. Os atacantes, identificados como Scattered Lapsus$ Hunters (SLH), acessaram uma conta de agente de suporte e mantiveram o controle por 58 horas, durante as quais exfiltraram aproximadamente 1,5 terabytes de dados sensíveis. Embora os hackers tenham afirmado ter em mãos mais de 2 milhões de fotos de identificação, a investigação interna do Discord revelou que cerca de 70 mil imagens de identificação foram realmente expostas. Os dados roubados incluem nomes de usuários, endereços de e-mail, transcrições de mensagens de suporte e informações de pagamento limitadas. Após o incidente, o Discord revogou o acesso da Zendesk e notificou as autoridades competentes. O ataque destaca a vulnerabilidade das empresas em relação a ataques à cadeia de suprimentos, especialmente quando dependem de fornecedores com segurança menos robusta. O impacto total do vazamento ainda é incerto, mas o Discord se recusa a pagar o resgate exigido pelos atacantes e está monitorando a situação de perto.

O Instituto de Educação Culinária (ICE) notificou 33.342 pessoas sobre um vazamento de dados ocorrido em abril de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, datas de nascimento e números de registro de estrangeiros nos EUA. O grupo de ransomware Payouts King reivindicou a responsabilidade pelo ataque, alegando ter roubado 1,5 TB de dados. Embora o ICE tenha confirmado a violação, não há informações sobre o pagamento de resgates ou como os atacantes conseguiram acessar a rede da instituição. O ICE está oferecendo monitoramento de crédito gratuito para as vítimas afetadas. Este incidente é parte de uma tendência crescente de ataques de ransomware em instituições educacionais nos EUA, com 34 ataques confirmados em 2025, comprometendo mais de 183 mil registros. O ataque ao ICE é o terceiro maior em termos de registros comprometidos, atrás de incidentes em distritos escolares que notificaram mais de 46 mil e 35 mil pessoas, respectivamente. O ICE, fundado em 1975, possui campi em Nova York e Los Angeles.

Três grupos de ransomware, DragonForce, LockBit e Qilin, anunciaram uma nova aliança estratégica, destacando mudanças significativas no cenário de ameaças cibernéticas. Essa coalizão visa compartilhar técnicas, recursos e infraestrutura, aumentando a eficácia dos ataques. A parceria surge após o retorno do LockBit, que busca restaurar sua reputação após uma operação de repressão em 2024 que resultou na prisão de membros e na perda de infraestrutura. O grupo Qilin, que se tornou o mais ativo nos últimos meses, focou principalmente em organizações da América do Norte, com mais de 200 vítimas apenas no terceiro trimestre de 2025. A nova versão do LockBit, a 5.0, é capaz de atacar sistemas Windows, Linux e ESXi, o que pode aumentar o risco para setores críticos. Além disso, a aliança pode levar a um aumento nos ataques a infraestruturas críticas, ampliando a ameaça a setores antes considerados de baixo risco. O relatório também aponta um aumento nos ataques em países como Egito, Tailândia e Colômbia, sugerindo que os cibercriminosos estão se expandindo para evitar a repressão das autoridades. Com 1.429 incidentes de ransomware registrados no terceiro trimestre de 2025, a situação exige atenção redobrada das empresas, especialmente aquelas em setores vulneráveis.

Um ataque cibernético ao Discord, ocorrido em 20 de setembro, expôs dados pessoais e financeiros de usuários, incluindo nomes, e-mails e informações de pagamento. O incidente foi facilitado por uma falha em uma empresa terceirizada de suporte ao consumidor, possivelmente o Zendesk. Os hackers acessaram a fila de tickets de suporte, revelando detalhes sensíveis, como os últimos dígitos de cartões de crédito e até documentos como carteiras de motorista e passaportes. O Discord notificou os usuários afetados e revogou o acesso da empresa de suporte após identificar a vulnerabilidade. Embora o ataque tenha sido classificado como ransomware, com um pedido de resgate, a plataforma garantiu que dados completos de pagamento e senhas não foram comprometidos. O grupo hacker Scattered Lapsus$ Hunters inicialmente assumiu a responsabilidade, mas depois alegou que outros grupos estavam envolvidos. A investigação interna do Discord está em andamento para entender melhor a extensão do ataque e suas implicações.

Hackers estão explorando rapidamente bancos de dados expostos na nuvem e em SaaS utilizando técnicas “sem malware”, abusando de comandos legítimos e configurações inadequadas. As operações automatizadas evoluíram para campanhas de dupla extorsão, com MySQL e PostgreSQL sendo as plataformas mais visadas. Os ataques resultam na criação de notas de resgate em novas tabelas de banco de dados, pressionando as vítimas com ameaças de vazamento ou venda de dados roubados.

O grupo de ransomware Qilin reivindicou a responsabilidade por um ataque cibernético que resultou em uma violação de dados na Asahi Group Holdings, uma importante cervejaria japonesa. O incidente, que foi divulgado pela primeira vez em 29 de setembro de 2025, levou a empresa a suspender pedidos, remessas e serviços ao cliente. A Qilin afirma ter roubado 27 GB de arquivos, incluindo documentos financeiros, orçamentos, contratos e dados pessoais de funcionários. Embora a Asahi esteja investigando a extensão da violação, ainda não confirmou a veracidade das alegações da Qilin nem se pagará um resgate. O grupo Qilin, baseado na Rússia, é conhecido por suas táticas de phishing e opera um modelo de ransomware como serviço, permitindo que afiliados utilizem seu malware para realizar ataques. Este ataque é parte de uma tendência crescente de ataques de ransomware direcionados a fabricantes, que podem causar interrupções significativas nas operações e comprometer dados sensíveis. A Asahi, que possui marcas de cerveja globais, está enfrentando dificuldades operacionais devido a este incidente, que destaca a vulnerabilidade do setor a ataques cibernéticos.

Grupos de ransomware têm utilizado ferramentas de acesso remoto (RATs) legítimas, como AnyDesk e UltraViewer, para estabelecer pontos de acesso furtivos e evitar detecções. Ao abusar de versões gratuitas ou empresariais dessas ferramentas, os atacantes conseguem contornar controles de segurança tradicionais, aproveitando assinaturas digitais confiáveis e canais criptografados para manter a persistência e movimentar-se lateralmente na rede.

Após o acesso inicial, geralmente por meio de força bruta em RDP ou reutilização de credenciais, os operadores exploram serviços RAT pré-instalados. Técnicas como ‘sequestro’ de serviços e instalação silenciosa são comuns, permitindo que os atacantes evitem alertas de segurança. Uma vez que os serviços RAT estão ativos, eles escalam privilégios e manipulam políticas de segurança do Windows para excluir diretórios RAT de varreduras de antivírus.

O ransomware Yurei, identificado pela CYFIRMA em setembro de 2025, apresenta uma nova ameaça para ambientes Windows, utilizando técnicas sofisticadas de criptografia e anti-forense. Escrito em Go, o Yurei adiciona a extensão .Yurei a cada arquivo criptografado, utilizando uma chave/nonce única gerada pelo algoritmo ChaCha20. Antes de iniciar a criptografia, o malware executa comandos PowerShell para eliminar cópias de sombra e backups, dificultando a recuperação de dados. O Yurei se propaga furtivamente por drives removíveis e compartilhamentos SMB, copiando-se como WindowsUpdate.exe e System32_Backup.exe. Após a criptografia, uma nota de resgate é gerada, exigindo pagamento para a recuperação dos arquivos, com ameaças de divulgação de dados caso as exigências não sejam atendidas. A análise revela semelhanças com o projeto de ransomware Prince, mas com melhorias significativas em stealth e eficiência. Para mitigar os impactos do Yurei, as organizações devem implementar políticas de backup imutáveis, regras de EDR para detectar cabeçalhos de arquivos suspeitos e estabelecer planos de contenção rápidos.

Pesquisadores em cibersegurança analisaram a evolução do malware XWorm, que se tornou uma ferramenta versátil para diversas ações maliciosas em sistemas comprometidos. Com um design modular, XWorm é composto por um cliente central e plugins especializados que executam ações específicas, como roubo de dados, keylogging e operações de ransomware. Desde sua primeira observação em 2022, o malware, associado ao ator de ameaças EvilCoder, tem se espalhado principalmente por e-mails de phishing e sites fraudulentos. Recentemente, novas variantes, como o XWorm 6.0, foram identificadas, oferecendo funcionalidades adicionais e utilizando arquivos JavaScript maliciosos para injetar o malware em processos legítimos do Windows. A modularidade do XWorm permite que comandos sejam enviados de servidores externos, facilitando ações como ataques DDoS e manipulação de arquivos. Apesar de um aparente abandono por parte de seu desenvolvedor original, o malware continua a ser distribuído e atualizado, destacando a necessidade de medidas de segurança robustas para enfrentar essas ameaças em constante evolução.

O grupo de ransomware Cl0p está explorando uma vulnerabilidade crítica zero-day na Oracle E-Business Suite, identificada como CVE-2025-61882. Essa falha, localizada no componente de Integração do Business Intelligence Publisher, permite a execução remota de código sem autenticação, com uma pontuação máxima de 9.8 no CVSS, possibilitando a total comprometimento do sistema. A vulnerabilidade afeta versões amplamente utilizadas da Oracle EBS, entre 12.2.3 e 12.2.14, que são essenciais para operações empresariais como gestão de pedidos e finanças. A Oracle já lançou atualizações de segurança, mas as organizações precisam aplicar primeiro o Critical Patch Update de outubro de 2023. O Cl0p, ativo desde 2019, tem um histórico de exploração de zero-days e, nesta campanha, está focado na exfiltração de dados em vez da criptografia. As empresas devem realizar um inventário imediato dos endpoints expostos, confirmar a instalação das atualizações e monitorar logs e tráfego de rede para sinais de comprometimento. A situação é crítica, e a falta de ação pode resultar em sérias interrupções operacionais e vazamentos de dados.

A CrowdStrike atribuiu com confiança moderada a exploração de uma vulnerabilidade crítica no Oracle E-Business Suite ao grupo de ameaças conhecido como Graceful Spider (ou Cl0p). A falha, identificada como CVE-2025-61882, possui um escore CVSS de 9.8 e permite a execução remota de código sem autenticação. O primeiro registro de exploração ocorreu em 9 de agosto de 2025. A vulnerabilidade facilita ataques que podem levar à exfiltração de dados, com um canal no Telegram insinuando a colaboração entre diferentes grupos de ameaças. A exploração envolve uma série de requisições HTTP que permitem a execução de um template XSLT malicioso, resultando em conexões de saída para a infraestrutura controlada pelos atacantes. A CISA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas exploradas, alertando agências federais para aplicar correções até 27 de outubro de 2025. A CrowdStrike e a WatchTowr Labs destacam a complexidade do ataque, que combina múltiplas falhas para alcançar a execução remota de código pré-autenticada. O alerta é claro: empresas que utilizam o Oracle EBS devem agir rapidamente para mitigar riscos.

A Microsoft identificou um grupo de cibercriminosos, denominado Storm-1175, como responsável pela exploração de uma vulnerabilidade crítica no software Fortra GoAnywhere, que permitiu a implantação do ransomware Medusa. A falha, classificada como CVE-2025-10035, possui um escore CVSS de 10.0 e é um bug de desserialização que pode resultar em injeção de comandos sem necessidade de autenticação. A vulnerabilidade foi corrigida nas versões 7.8.4 e 7.6.3 do software. Desde 11 de setembro de 2025, o grupo tem explorado aplicações expostas ao público para obter acesso inicial, com indícios de exploração ativa desde pelo menos 10 de setembro. A exploração bem-sucedida dessa vulnerabilidade pode permitir que os atacantes realizem descobertas de sistema e usuário, mantenham acesso a longo prazo e implantem ferramentas adicionais para movimentação lateral e malware. A cadeia de ataque inclui a instalação de ferramentas de monitoramento remoto, como SimpleHelp e MeshAgent, e a criação de arquivos .jsp nos diretórios do GoAnywhere MFT. A Microsoft também observou o uso de Rclone para exfiltração de dados em pelo menos um ambiente afetado. A situação levanta preocupações sobre a transparência da Fortra em relação à segurança de seus produtos.